매차 메타 해킹에 244억 원 탈취… '직접 승인' 불러온 보안 참사

2026년 1월 26일 21:24:50 | 서도윤 기자

디파이 거래소 매차 메타 해킹… 약 244억 원 탈취

디파이(DeFi) 기반 거래소 애그리게이터 매차 메타(Matcha Meta)에서 보안 사고가 발생해 약 1,680만 달러(약 242억 7,000만 원) 상당의 암호화폐가 탈취됐다. 이번 사고는 매차 메타의 핵심 인프라가 아닌, 외부 유동성 공급자 스왑넷(SwapNet)에서 벌어진 것으로 확인됐다.

문제는 매차 메타 사용자 중 일부가 ‘원타임 승인(One-Time Approval)’ 기능을 끈 채 개별 애그리게이터 컨트랙트에 직접 토큰 사용 권한을 부여하면서 시작됐다. 매차 메타는 25일 공식 X(옛 트위터) 채널을 통해 이 사실을 공개하며, 해당 기능을 비활성화한 사용자들이 피해를 입었을 가능성이 있다고 경고했다. 스왑넷 팀은 현재 관련 스마트컨트랙트를 임시 중단한 상태다.

10초 만에 1,680만 달러 탈취... 이더리움으로 자금 세탁 시도

블록체인 보안업체 펙쉴드(PeckShield)에 따르면 해커는 먼저 베이스(Base) 네트워크에서 1,050만 달러(약 151억 7,000만 원) 상당의 USD코인(USDC)을 3,655 ETH로 교환한 후, 이를 이더리움으로 브릿지(Bridge) 하는 방식으로 자산을 이동시켰다. 총 피해 규모는 약 1,680만 달러로 집계된다.

또 다른 보안업체 서틱(CertiK)은 이번 공격에서 사용된 지갑 주소 중 하나가 약 1,330만 달러(약 192억 1,000만 원) 규모의 USDC를 인출한 사실을 포착했다고 밝혔다. 해당 공격은 스왑넷의 컨트랙트에 존재하던 '임의 호출 초과 권한’ 취약점에서 비롯됐으며, 해커는 피해자들이 과거에 승인해둔 권한을 악용해 자산을 탈취한 것으로 분석된다.

매차 메타 “0x 기반 시스템은 안전…직접 승인 옵션은 제거”

매차 메타 측은 해커의 공격 경로가 자사의 원타임 승인 시스템이 아닌, 직접 승인을 선택한 사용자들을 겨냥한 것이라고 강조했다. 매차 메타의 원타임 승인 기능은 0x 프로토콜의 ‘AllowanceHolder’나 ‘Settler’ 컨트랙트를 기반으로 하며, 사용자가 일회성으로 소량의 거래 권한만 부여하도록 제한돼 있다.

프로토콜 팀은 사고 발생 이후 해당 시스템을 사용한 사용자는 피해 대상이 아니었음을 확인했다며, 앞으로 매차 메타에서 직접 토큰 승인 기능은 삭제될 예정이라고 밝혔다.

‘지속적 승인’이 만든 보안 허점…디파이 전반에 시사점

이번 해킹은 디파이 생태계의 고질적인 보안 허점을 또다시 드러냈다. 스마트컨트랙트와 상호작용하기 위해 필수적인 ‘토큰 승인’ 기능이, 사용자 승인 범위가 장기간 유지될 경우 제3자에게 악용될 수 있다는 경고는 꾸준히 제기돼왔다.

2025년 기준 스마트컨트랙트 취약점은 전체 암호화폐 해킹 피해의 약 30%를 차지하면서 최대 사고 원인으로 지목됐다. 블록체인 보안업체 슬로우미스트(SlowMist)가 발표한 연간 보고서에 따르면, 인공지능 기술 발달로 해킹 자산 탐지 및 공격 속도는 더욱 향상되고 있다는 분석도 있다.

1월에도 디파이 프로젝트들의 해킹 피해가 잇따랐다. 아이포르랩스(IPOR Labs)는 아비트럼(Arbitrum)에서 33만 6,000달러(약 4억 8,500만 원) 이상 피해를 입었고, 트루빗(Truebit)은 8,500 ETH 이상이 유출되면서 코인 가격이 폭락했다. 레이어1 블록체인 사가(Saga)는 700만 달러(약 101억 1,000만 원) 규모 유출 사고로 자체 EVM 체인을 일시 중단하기도 했다.

디파이의 자율성과 유연성이 강점으로 평가받는 만큼, 사용자 권한 설정 방식에 따른 보안 리스크는 향후에도 반복될 가능성이 높다. 매차 메타 해킹 사건은 디파이 참여자들에게 기본 보안 설정의 중요성을 다시금 상기시키는 사례로 남게 될 전망이다.

💡 "당신의 지갑은 무사한가? 토큰포스트 아카데미에서 배우는 디파이 생존 전략"

이번 매차 메타 해킹 사건처럼, 디파이 세계는 우리가 간과한 설정 하나로 수억 원의 피해가 발생할 수 있습니다. '지속적 승인'처럼 보안 허점은 제대로 이해하고 대비하지 않으면 독이 든 성배가 됩니다.

토큰포스트 아카데미는 대한민국 대표 블록체인 미디어 토큰포스트가 직접 설계한 실전 중심의 교육 과정으로, 자산을 지키는 투자를 배웁니다.

특히 5단계: The DeFi User 과정에서는 단순히 스테이킹과 렌딩을 넘어서 ▲승인 권한 관리 ▲LTV(담보 비율) 설정 ▲청산 리스크 방지법까지 "알면 지키고, 모르면 잃는" 디파이 보안의 핵심을 다룹니다.

비영구적 손실 계산법부터 탈중앙화 거래소 원리 및 안전한 유동성 공급 전략까지, 모든 디파이 사용자라면 반드시 들어야 할 강의입니다.

2026년 디파이 시장에서 살아남을 수 있는 무기, 바로 '지식 기반 리스크 관리'입니다.

📌 지금 바로 시작하세요. 디파이, 제대로 배워야 지킨다!

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 디파이, 선물옵션까지 7단계 마스터클래스

첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership